Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng bảo mật hiện đã được khắc phục trên thị trường mã thông báo không thể thay thế (NFT) Rarible mà nếu khai thác thành công, có thể dẫn đến việc chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Các nhà nghiên cứu Roman Zaikin, Dikla Barda và Oded Vanunu của Check Point cho biết: “Bằng cách dụ nạn nhân nhấp vào một NFT độc hại, kẻ tấn công có thể kiểm soát hoàn toàn ví tiền điện tử của nạn nhân để ăn cắp tiền”.
Rarible, một thị trường NFT cho phép người dùng tạo, mua và bán nghệ thuật NFT kỹ thuật số như ảnh, trò chơi và meme, có hơn 2,1 triệu người dùng đang hoạt động.
Vanunu, người đứng đầu bộ phận nghiên cứu lỗ hổng sản phẩm tại Check Point, cho biết: “Về mặt bảo mật, vẫn còn một khoảng cách rất lớn giữa cơ sở hạ tầng Web2 và Web3.
“Bất kỳ lỗ hổng nhỏ nào cũng có thể cho phép bọn tội phạm mạng chiếm đoạt ví tiền điện tử đằng sau hậu trường. Chúng tôi vẫn đang ở trong tình trạng thiếu các thị trường kết hợp các giao thức Web3 từ góc độ bảo mật. Những tác động sau một vụ hack tiền điện tử có thể rất nghiêm trọng.”
Mô-đun tấn công phụ thuộc vào một tác nhân độc hại gửi một liên kết đến một NFT giả mạo (ví dụ: một hình ảnh) cho các nạn nhân tiềm năng, khi được mở trong một tab mới, thực thi mã JavaScript tùy ý, có khả năng cho phép kẻ tấn công giành được quyền kiểm soát hoàn toàn đối với NFT của họ bằng cách gửi yêu cầu setApprovalForAll đến ví.
API setApprovalForAll cho phép thị trường (trong trường hợp này là Rarible) chuyển các mặt hàng đã bán từ địa chỉ của người bán sang địa chỉ của người mua dựa trên hợp đồng thông minh đã triển khai.
“Chức năng này rất nguy hiểm theo thiết kế vì điều này có thể cho phép bất kỳ ai kiểm soát NFT của bạn nếu bạn bị lừa ký vào nó”, các nhà nghiên cứu chỉ ra.
“Không phải lúc nào người dùng cũng rõ ràng chính xác họ được cấp quyền gì khi ký giao dịch. Hầu hết thời gian, nạn nhân cho rằng đây là các giao dịch thông thường trong khi thực tế, họ đang trao quyền kiểm soát đối với NFT của riêng mình.”
Khi đưa ra yêu cầu, âm mưu lừa đảo cho phép kẻ thù chuyển tất cả NFT từ tài khoản của nạn nhân một cách hiệu quả, sau đó kẻ tấn công có thể bán chúng trên thị trường với giá cao hơn.
Như các biện pháp bảo vệ, người dùng nên xem xét kỹ lưỡng các yêu cầu giao dịch trước khi cung cấp bất kỳ loại ủy quyền nào. Các phê duyệt mã thông báo trước đó có thể được xem xét và thu hồi bằng cách truy cập công cụ Trình kiểm tra phê duyệt mã thông báo của Etherscan.
“Người dùng NFT nên biết rằng có nhiều yêu cầu ví khác nhau – một số yêu cầu trong số đó được sử dụng chỉ để kết nối ví, nhưng những người khác có thể cung cấp quyền truy cập đầy đủ vào NFT và Token của họ”, các nhà nghiên cứu cho biết.
.
